Noi versiuni de spyware găsite pentru OS X
Makradar De Tehnologie / / December 19, 2019
Experții în securitate au identificat numeroase exemple de KitM spion recent descoperite pentru Mac OS X, dintre care unul are ca scop vorbitor de limba germană datată decembrie 2012 utilizatori. KitM (Kumar în Mac), de asemenea, cunoscut sub numele de HackBack, este un backdoor, ceea ce face capturi de ecran neautorizate și încărcați-le pe un server de la distanță. Acesta prevede, de asemenea, acces la shell, permițând invadator pentru a executa comenzi de pe computerul infectat.
Inițial, malware-ului a fost găsit pe activiștii MacBook angolezi care participa la conferința privind drepturile omului la Oslo Freedom Forum. Cel mai interesant KitM că a semnat un act de identitate valabil Apple Developer, un certificat eliberat de Apple pe unele Rajinder Kumar. Cererile semnate de ID-ul Apple Developer, a trecut Gatekeeper, built-in sistemul de securitate OS X, care verifică originea fișierului pentru a determina posibile amenințări la sistem.
Primele două probe KitM, găsit săptămâna trecută au fost conectate la serverele din Olanda și România. Miercuri, experții F-Secure a primit mai multe probe KitM de cercetător din Germania. Aceste probe au fost folosite pentru atacurile direcționate în perioada cuprinsă între decembrie-februarie, și distribuite prin intermediul email-uri de phishing care conțin zip-fișiere cu nume ambele Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NUME removed] .app.zip și Lebenslauf_fur_Praktitkum.zip.
Cuprins în aceste arhive instalatorii KitM este un fișier executabil în formatul Mach-O, ale căror icoane au fost înlocuite cu imagini icoane, video, PDF și documente Microsoft Word. Un astfel de truc este adesea folosit pentru a distribui malware pe Windows.
Au fost găsite Toate probele de KitM semnate de același certificat Rajinder Kumar, care Apple a El a amintit săptămâna trecută, imediat după detectarea KitM, dar nu va ajuta pe cei care au deja infectate.
«Gatekeeper păstrează un fișier în carantină până la momentul în care acesta se realizează în primul rând,“ - a declarat Bogdan Botezatu, un analist senior la antivirus Bitdefender de companie. „Dacă fișierul a fost verificat la prima pornire, va începe și să continue, după cum Gatekeeper nu va efectua re-examinare. Prin urmare, malware-ului, care a fost început o dată folosind certificatul corect va continua să funcționeze și după retragerea acestuia. "
Apple poate utiliza o funcție de protecție diferit, numit XProtect, pentru a adăuga la lista neagră a fișierelor KitM cunoscute. Cu toate acestea, nu a găsit înainte apoi modificați „spion“ va continua să funcționeze.
Singurul mod în care utilizatorii de Mac pot împiedica executarea oricăreia dintre malware semnat pe computer este de a schimba setările Gatekeeper astfel încât a fost lăsată să se desfășoare numai acele aplicații care au fost instalate din Mac App Store, spun expertii F-Secure.
Cu toate acestea, pentru utilizatorii de întreprindere, această configurație este pur și simplu imposibil, deoarece Aceasta face imposibilă utilizarea practic orice birou Software-ul, și mai ales - a propriilor lor aplicații de întreprindere sunt dezvoltate pentru uz intern și nu a pus în Mac App Magazin.
(prin)